Befehle des Menübands überspringen
Zum Hauptinhalt wechseln

Navigationslinks überspringenDatenschutz

Datenschutz
Datenschutzerklärung gemäß Art. 12 EU-DSGVO

Stand: 24. Mai 2018

1. Gegenstand dieser Datenschutzerklärung
Der Schutz Ihrer personenbezogenen Daten (im Folgenden kurz ,,Daten“) ist uns ein großes und sehr wichtiges Anliegen.  Unsere Mitarbeiter und Beauftragten werden auf die Einhaltung der datenschutzrechtlichen Bestimmungen nach den gesetzlichen Vorgaben verpflichtet.
Nachfolgend möchten wir Sie daher ausführlich darüber informieren, welche Daten bei der Nutzung des Projektraums erhoben und wie diese von uns im Folgenden verarbeitet oder genutzt werden, ebenso wie, welche begleitenden Schutzmaßnahmen wir auch in technischer und organisatorischer Hinsicht getroffen haben. Sie können diese Unterrichtung von jeder Seite abrufen. Diese Unterrichtung bezieht sich auf die Nutzung des Dienstes mittels PC, Smartphone, Tablet sowie aller weiteren internetfähigen Endgeräte.

2. Verantwortliche Stelle/Diensteanbieter
Verantwortlicher nach Art. 4 DSGVO und zugleich Diensteanbieter im Sinne des Telemediengesetzes (TMG) sind:

DEWAN FRIEDENBERGER ARCHITEKTEN GmbH
Karuna Dewan
Martin Friedenberger
T +49 89 50094252-0
F +49 89 50094252-90
info@df-architekten.de

Karuna Dewan und Martin Friedenberger sind verantwortlich nach § 55 des Rundfunk-Staatsvertrags.

Datenschutzbeauftragte von novaCapta gemäß Art. 28 bis 33 DS-GVO:

Simon Nocher
Organisationseinheit: Custom Applications
T +49 151 58226 601
dsb@novacapta.de

3. Erhebung und Verwendung Ihrer Daten
Der Besuch der Webseite ist grundsätzlich nur mit Login unter Angabe personenbezogener Daten möglich.  Wir verwenden Daten, die Sie uns freiwillig per E-Mail oder postalisch zur Verfügung gestellt haben (wie z.B. Ihren Namen, Ihre E-Mail Adresse oder sonstige Kontaktdaten), ausschließlich um Ihr Benutzerprofil anzulegen und damit Sie den Projektraum nutzen können.  Alle personenbezogenen Daten, die wir von Ihnen erheben, werden wir nur zu dem angegebenen Zweck erheben, verarbeiten und nutzen. Dabei beachten wir, dass dies nur im Rahmen der jeweils geltenden Rechtsvorschriften bzw. ansonsten nur mit Ihrer Einwilligung geschieht.
Sie können gemäß Art. 21 DSGVO in den dort genannten Fällen Widerspruch gegen die Verarbeitung Ihrer Daten erheben. Bitte wenden Sie sich an info@df-architekten.de oder senden Sie uns Ihr Verlangen per Post.
Sie haben das Recht zur Beschwerde bei der zuständigen Aufsichtsbehörde für den Datenschutz:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 27
91522 Ansbach
Telefon: 0981 531300
Telefax: 0981 53981300
poststelle@lda.bayern.de
www.lda.bayern.de

DEWAN FRIEDENBERGER ARCHITEKTEN und novaCapta arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/- kategorien (Aufzählung/Beschreibung der Datenkategorien):
  • Personenstammdaten
  • Kommunikationsdaten
  • Vertragsstammdaten
  • Kundenhistorie
  • Vertragsabrechnungs- und Zahlungsdaten
  • Planungs- und Steuerungsdaten
  • Auskunftsangaben
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
  • Kunden
  • Beschäftigte
  • Projektbeteiligte
4. Einsatz von Cookies
Für unseren Internetauftritt nutzen wir die Technik der Cookies. Cookies sind kleine Textdateien, die im Rahmen Ihres Besuchs unserer Internetseiten von unserem Webserver an Ihren Browser gesandt und von diesem auf Ihrem Rechner für einen späteren Abruf vorgehalten werden. Ein Cookie enthält normalerweise eine Angabe über die Lebensdauer der Textdatei sowie eine zufällig generierte Nummer, über die Ihr Computer wiedererkannt wird. Einige der verwendeten Cookies werden nach dem Ende der Browser-Sitzung wieder gelöscht. Dabei handelt es sich um sogenannte Sitzungs-Cookies. Andere Cookies verbleiben auf Ihrem Endgerät und ermöglichen die Wiedererkennung des Browsers bei einem späteren Besuch unserer Website (dauerhafte Cookies). In der Regel erfolgt die Datenspeicherung von Cookies anonymisiert. Personenbezogene Daten können nur dann gesammelt werden, wenn die entsprechende Seite ein Log-in erfordert. Ob Cookies gesetzt und abgerufen werden können, können Sie durch die Einstellungen in Ihrem Browser selbst bestimmen. Sie können in Ihrem Browser etwa das Speichern von Cookies gänzlich deaktivieren, es auf bestimmte Webseiten beschränken oder Ihren Browser so konfigurieren, dass er Sie automatisch benachrichtigt, sobald ein Cookie gesetzt werden soll und Sie um Rückmeldung dazu bittet.

5. Widerrufs- und Widerspruchsrecht
Wir weisen Sie darauf hin, dass Sie eine uns ggf. erteilte datenschutzrechtliche Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können. Soweit gesetzliche Anforderungen zur Erhebung von Daten bestehen (z.B. Architektenliste), besteht kein Widerrufsrecht.

6.  Verwendung von Scriptbibliotheken (Google Webfonts)
Um unsere Inhalte browserübergreifend korrekt und grafisch ansprechend darzustellen, verwenden wir auf dieser Website Scriptbibliotheken und Schriftbibliotheken wie z. B. Google Webfonts (https://www.google.com/webfonts/). Google Webfonts werden zur Vermeidung mehrfachen Ladens in den Cache Ihres Browsers übertragen. Falls der Browser die Google Webfonts nicht unterstützt oder den Zugriff unterbindet, werden Inhalte in einer Standardschrift angezeigt.
Der Aufruf von Scriptbibliotheken oder Schriftbibliotheken löst automatisch eine Verbindung zum Betreiber der Bibliothek aus. Dabei ist es theoretisch möglich – aktuell allerdings auch unklar ob und ggf. zu welchen Zwecken – dass Betreiber entsprechender Bibliotheken Daten erheben. Die Datenschutzrichtlinie des Bibliothekbetreibers Google finden Sie hier:  https://www.google.com/policies/privacy

7. Datensicherheit
Wir setzen zudem technische und organisatorische Sicherheitsmaßnahmen ein, um anfallende oder erhobene personenbezogene Daten zu schützen, insb. gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder gegen den Angriff unberechtigter Personen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert. Wir speichern personenbezogene Daten jeweils nur so lange, bis der Zweck der Datenspeicherung entfällt, so lange keine gesetzlichen Aufbewahrungsfristen oder Verjährungsfristen von möglicherweise der Rechtsverfolgung dienlichen Daten der Löschung entgegenstehen (in diesem Fall wird die Verarbeitung der Daten nach Art. 18 DSGVO eingeschränkt).
  • novaCapta dokumentiert die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insebsondere hinsichtlich der konkreten Auftragsdurchführung und übergibt sie DEWAN FRIEDENBERGER ARCHITEKTEN zur Prüfung. 
  • novaCapta stellt die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO her. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen.
  • Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es novaCapta gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen werden dokumentiert.

novaCapta unterstützt DEWAN FRIEDENBERGER ARCHITEKTEN bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

  • die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen.
  • die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an DEWAN FRIEDENBERGER ARCHITEKTEN zu melden.
  • die Verpflichtung, DEWAN FRIEDENBERGER ARCHITEKTEN im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen. 
  • die Unterstützung der DEWAN FRIEDENBERGER ARCHITEKTEN für deren Datenschutz-Folgenabschätzung
  • die Unterstützung der DEWAN FRIEDENBERGER ARCHITEKTEN im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde

8. Löschung und Rückgabe von personenbezogenen Daten
Kopien oder Duplikate der Daten werden ohne Wissen von
DEWAN FRIEDENBERGER ARCHITEKTEN nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch DEWAN FRIEDENBERGER ARCHITEKTEN – spätestens mit Beendigung der Leistungsvereinbarung – hat novaCapta sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, DEWAN FRIEDENBERGER ARCHITEKTEN auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist aufkk . Anforderung vorzulegen.
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch novaCapta entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende
DEWAN FRIEDENBERGER ARCHITEKTEN übergeben.

9. Technische und organisatorische Maßnahmen von novaCapta
Maßnahmen die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden verwehren:

Zutrittskontrolle
Maßnahmen die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden verwehren:
Es werden nach DSGVO Art. 32 Absatz 1 Maßnahmen getroffen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Die schützenswerten Daten werden in den novaCapta Rechenzentren verarbeitet.
  • Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile
    Die Rechenzentren sind als schützenswerte Gebäudeteile zu sehen. An den Standorten ist die genaue Lage der Rechenzentrumsfläche bzw. der dazugehörigen Technikräume nicht ersichtlich.
  • Geschlossene Fenster und Türen
    Die Rechenzentren haben keine Fenster; Türen schließen selbsttätig.
  • Aufzeichnungen
    Die Türzutrittskontrollprotokolle werden gesichtet, stichprobenartig überprüft und archiviert.
  • Büroräumlichkeiten
    Zutrittskontrollsysteme an den Eingängen. Fenster und Türen außerhalb der Bürozeiten geschlossen bzw. verschlossen zu halten. Der Sicherheitsdienst überprüft darüberhinaus außerhalb der Bürozeiten, dass Fenster und Türen geschlossen sind.
  • Gefahrenmeldeanlage
    Die Gefahrenmeldeanlage für Brand- und Alarmdetektion ist durchgängig über das Monitoring realisiert. Hierfür ist ein stiller Alarm mit verschiedenen Alarmmeldelinien und direkter Koppelung an das Monitoring-System und die daran angeschlossene 24-h-Rufbereitschaft realisiert. Diese alarmieren entsprechend Notfallplan die Polizeibehörden. In den Rechenzentren ist eine Rauchdetektion direkt an das Monitoring und die daran angeschlossene 24-h-Rufbereitschaft gekoppelt. Die Bearbeitung findet entsprechend der Einträge im Notfallplan statt.
  • Videoüberwachung
    Die Rechenzentren sind jeweils in der Schleuse und in den Rechenzentren videoüberwacht. Optional können über weitere Kameras einzelne Schrankreihen überwacht werden. Identifizierung zu Überwachungszwecken, Erkennung und Lokalisierung von Gefahren bzw. Schadensverhütung und Alarmierung wird über Sichtprüfung und in Stichproben vom zentralen Operatingplatz in Nürnberg aus für die Rechenzentren durchgeführt. Eine Stichprobe der digitalisierten Bewegungsbilder im Rechenzentrum kann durchgeführt und mit den archivierten Daten (Zutrittskontrollprotokolle) abgeglichen werden, um eine Kontrolle über die Zutritte hinsichtlich Legitimität der stattgefundenen Handlungen zu erhalten.
  • Perimeterschutz
    An dem Standort Thomas-Mann-Straße in Nürnberg ist das Areal jeweils mit Pförtnerkabine und Schranken an den Zufahrten ausgestattet, um hier eine ordnende oder abschreckende Wirkung zu erreichen. Weitere Perimeterschutzmaßnahmen werden derzeit nicht realisiert.
  • Schlüsselverwaltung / Ausweisverwaltung
    Diese obliegt der Personalverwaltung, die hier die entsprechenden Prozesse, insbesondere in Bezug auf Entzug der Berechtigungen von Mitarbeitern nach Verlassen der Firma berücksichtigt. 
  • Beaufsichtigung oder Begleitung von Fremdpersonen
    Bei Zutritt externer Dienstleister gelten die entsprechenden Schutzbestimmungen (spezielle Prozessdefinitionen beim Zutritt zum Rechenzentrum: Umfang, Zeitpunkt, Firmenname, Name mit Unterschrift, spezifische Zutrittskontrollkarte, Begleitung eines Mitarbeiters, Kameraüberwachung etc.), die Dokumentation im „Ticket“ im Ergebnis rundet die Tätigkeit ab. Maßnahmen von Fremdpersonen werden jeweils im Beisein eines Mitarbeiters durchgeführt, in Ausnahmefällen auch durch entsprechende Einweisungen der Arbeitskräfte und entsprechender Überwachung durch geeignete Maßnahmen (insbesondere Videoüberwachung), Nachweis des Zutritts und Verlassen des Rechenzentrums über Archivierung des Zugangskontrollsystems.
  • Zutritt der Rechenzentrumsbereiche zu Geschäftszeiten
    Der Zugang zu den Rechenzentren ist nicht für den Publikumsverkehr vorgesehen. Nur die Systemverantwortlichen haben Zutritt zu den Systemen. Die Schlüsselgewalt besitzen nur der IT-Sicherheitsbeauftragte, der IT-Leiter und der Rechenzentrumsbetriebsleiter. Alle anderen Berechtigten sind auf entsprechende Zugangskarten bzw. die Eingabe eines Systemcodes angewiesen. Weiterhin findet zu Bürozeiten eine stichprobenartige Sichtung der Überwachungskameras am zentralen Leitstand in Nürnberg statt.
  • Besonderes Verfahren außerhalb Geschäftszeiten
    Zu Geschäftszeiten ist davon auszugehen, dass berechtigtes Bedienungspersonal sich regelmäßig in den Rechenzentrumsbereichen aufhält. Außerhalb dieser Zeiten ist ein Vier-Augen-Prinzip für den Zutritt zu den Rechenzentren erforderlich (mindestens telefonische Kontaktaufnahme, Fernbedienung des jeweiligen Türöffnungssystems durch das 24-h-Betreitschafts-Bedienerpersonal, unter ggf. gleichzeitiger Sichtung per Videokontrolleinrichtung). Wenn nach vereinbarter Verweildauer kein Lebenszeichen vom Berechtigten zu vernehmen ist, erkundigt sich der Mitarbeiter des Bedienerpersonals über den Verweilort des Berechtigten, um hier Gefahr für Leib und Leben auszuschließen. Der Berechtigte gibt andernfalls einen abschließenden Rapport, nachdem das Rechenzentrum verlassen wurde. Die beim Sicherheitsdienst hinterlegte Zugangskarte/Schlüssel darf nicht eingesetzt werden, außer für Notfälle (insbesondere für den akuten Brandeinsatz der Feuerwehr nach automatischer Auslösung einer Brandmeldung für das Rechenzentrum im zentralen FeuermeldeSystems).
  • Kontrolle des Rechenzentrums-Zutritts
    Der Zutritt zu den Rechenzentren über Zugangskarten wird protokolliert, und durch den Rechenzentrumsbetriebsleiter archiviert. Das automatische Kontrollsystem lässt vollautomatisch nur den Zutritt für die berechtigten Zugangskartenbesitzer zu. Die Videokontrolleinrichtungen erfassen systematisch alle Zutritts-Schleusen und wichtigen Systemkomponenten. Diese werden stichprobenartig in Hinblick auf Verdachtsmomente ausgewertet.
  • Kontrollgänge
    In den Rechenzentren finden regelmäßige Kontrollgänge statt. Diese finden ferner auch im Rahmen des Brandschutzes statt. Es finden für die Rechenzentren tägliche, wöchentliche und monatliche Kontrollgänge nach Checkliste statt. Die Ergebnisprotokolle der Begehungen sind in Papierform beim Rechenzentrumsbetriebsleiter einzusehen.
  • Umgang mit und Sicherheit von Datenträgern
    Mobile Datenträger wie Bänder, Platten und Kassetten werden bei Bedarf nur in abgesperrten Schutzbereichen (insbesondere Safe) gelagert. Gedruckte Aufzeichnungen sind, soweit diese als streng vertraulich gekennzeichnet sind, ebenfalls im Safe gelagert. Der jeweilige Safe ist nur für einen definierten Personenkreis zugänglich, der Zugriff auf diese Dokumente haben muss.
  • Schutzzonen
    Innerhalb des Rechenzentrums sind getrennte Bereiche für Carrier (Datenleitungen), Stromversorgung (Stromunterverteilung) und Racks (absperrbare Racks), bzw. bei einzelnen Kundenprojekten dedizierte Cages (abgegrenzte Käfigbereiche auf der IT-Fläche) aufgebaut, für die nur ein eingeschränkter Personenkreis Zutritt erhält, und bei denen es eine abgesicherte Zutrittsmöglichkeit (zusätzlicher Alarmkreis in der Alarmanlage) gibt.
  • Notausgänge
    Die Rechenzentren besitzen Notausgänge nach Brandschutzverordnung; dabei wird sichergestellt, dass Alarm ausgelöst wird, wenn die nur von innen durchführbare Panikfunktion einer Tür betätigt wird.

Zugangskontrolle
Maßnahmen die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:
Es werden nach DSGVO Art. 32 Absatz 1 Maßnahmen getroffen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.  Für sämtliche schützenswürdigen Systeme der Datenverarbeitung, d. h. auch für die dazugehörigen Testsysteme, wird eine Benutzerverwaltung durchgeführt.
Die Benutzerverwaltung wird  grundsätzlich personenbezogen durchgeführt.
Grundlage der Passwort-Policy sind die allgemeinen Vorgaben zum Aufbau von Kennwörtern (wie Mindestlänge, Kennwortkomplexität). Diese können bei Bedarf durch eine systemspezifische Policy auf den konkreten Schutzbedarf angepasst werden.  Darüber hinaus werden im Rahmen der Systemhärtung - in Abstimmung mit dem Kunden - Einschränkungen oder Sperrungen von Gast- und/oder Administrator-Zugriffen durchgeführt, die Sperrung von Benutzer- oder Administrator-Passwörtern nach mehreren ungültigen Fehlversuchen veranlasst, und bei Bedarf eine Passwort-Historie mit einem Verbot der Mehrfachänderung bzw. Wiederholung von Passwörtern innerhalb einer vordefinierten Zeitspanne, vereinbart. Die Speicherung der Zugriffe (und –versuche) wird im Systemlog durchgeführt.
Für Sitzungen gibt es ein definiertes Timeout.
  • Clean-Desk-Policy
    In regelmäßigen Security-Awareness-Trainings wird allen Mitarbeitern das Bewusstsein einer sorgsamen Absicherung ihres Arbeitsumfeldes aufgefrischt. Die Eingabe eines Passwortes muss unbeobachtet erfolgen, geschäftliche Passwörter dürfen nicht außerhalb (z. B. privat zuhause) verwendet werden. Die Vertraulichkeit muss gewährleistet sein. Passwörter dürfen vom Anwender nicht hinterlegt werden (weder schriftlich noch elektronisch), Ausnahme ist das Notfallpasswort im Safe.
    Bei Bedarf kommen weitere Systemzugangs-Einschränkungen zum Einsatz, die der Auftraggeber mit dem Auftragnehmer je nach Art der zu schützenden Daten den konkreten organisatorischen Datenverarbeitungsprozess abstimmt, wie etwa: Nutzung von BenutzerZertifikaten oder One-Time-Passwort-Verfahren anstelle von Passwörtern Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen.
Zugriffskontrolle
Maßnahmen die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
Es werden nach DSGVO Art. 32 Absatz 1 Maßnahmen getroffen, die geeignet sind, zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
novaCapta setzt nach Anforderung des Auftraggebers Sicherheitsgateways (Firewalls) bzw. Bei Bedarf geeignete Zusatzlösungen wie Applikations-Firewalls, Next Generation Firewalls u. ä. ein, die ihrerseits eine Intrusion-Prevention oder Intrusion-Detection (z. B. nach Portscans u. ä.) durchführen können.
novaCapta realisiert für den Kunden bei Bedarf einen Virenscan. Die VirenscannerPatterns werden in regelmäßigen Abständen (ca. jede halbe Stunde) – soweit verfügbar - vom Hersteller abgerufen. Dieser Vorgang wird automatisiert überwacht. Die Annahme von Viren und anderen Bedrohungen (wie z. B. DUL) wird bereits im Vorfeld unterbunden.
Durch geeignete Verfahren der innerbetrieblichen Organisation wird eine Trennung zwischen Berechtigungsbewilligung und Berechtigungsvergabe bewerkstelligt.
Im Rahmen der Dokumentenlenkung wird eine bedarfsgerechte Freigabe von Benutzerrechten (lesen/schreiben/löschen) realisiert. Für besonders schützenswerte Belange wird bei Bedarf das Vier-Augen-System durchgeführt.

Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Es werden nach DSGVO Art. 32 Absatz 1 Maßnahmen getroffen, die geeignet sind, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.  Mobile Datenträger wie Bänder, Platten und Kassetten werden bei entsprechendem Schutzbedarf im Safe gelagert.
Auf mobilen Devices (USB-Sticks, DVDs) müssen alle schützenswürdigen Daten nach aktuellen kryptographischen Standards verschlüsselt abgelegt sein.
Alte oder defekte Devices werden mittels professioneller Datenträgerentsorgung vernichtet.
Entsprechend mit geheim oder vertraulich klassifizierte Dokumente befinden sich in besonders geschützten Serversystemen oder Dateisystemen, über die ein Zugriff von Außenstehenden erschwert oder verhindert werden kann, um damit vor unberechtigter Offenlegung oder Missbrauch zu schützen. Tape-Libraries und Plattensysteme werden in entsprechenden Schutzbereichen (Racks oder Cages) untergestellt.
  • Datenkommunikation
    Schützenswürdige Daten werden bevorzugt über Datenleitungen statt mittels physikalischem Transport übertragen, um das Risiko von Verlust oder einen Daten-Diebstahl über diese traditionellen Transportwege ausschließen zu können. Dabei kommt über öffentliche Kommunikationskanäle (wie Internet-Datenverkehr) eine verschlüsselte Datenübertragung zum Einsatz (z. B. per SSL, IPsec, SSL-VPN). 
  • E-Mail-Sicherheit
    Grundsatz für die E-Mail-Sicherheit bedeutet sofern möglich die Verwendung von Verschlüsselung, wo diese möglich ist (insbesondere TLS-Verschlüsselung). Die Mitarbeiter werden regelmäßig hinsichtlich der Gefahren in Bezug auf Viren bzw. Malware sensibilisiert. Über Viren-/Malware- und Spam-Filter-Schutzmaßnahmen werden die E-Mail-Sicherheitsrisiken systematisch reduziert.
Eingabekontrolle
Maßnahmen die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
Es werden nach DSGVO Art. 32 Absatz 1 Maßnahmen getroffen, die geeignet sind, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Der Auftraggeber stimmt mit dem Auftragnehmer je nach Art der zu schützenden Daten den konkreten organisatorischen Datenverarbeitungsprozess ab. novaCapta kann hierfür bei Bedarf die notwendigen technischen Einrichtungen zur Protokollierung und Archivierung zur Verfügung stellen.
Die entsprechend mit den datenschutzrechtlichen Systemen betrauten Personen besitzen ein besonderes Vertrauensverhältnis und sind namentlich benannt. Die Aktivitäten für die Systemadministration (mit Zeitpunkt der Aktivität und Angabe der ausführenden Person) werden aufgezeichnet.
Flankierend dazu werden alle mit der Betriebsführung betrauten Mitarbeiter auf das Datengeheimnis verpflichtet und in regelmäßigen Abständen Veranstaltungen und Fortbildungen zum Thema Datensicherheit durchgeführt.
Die Grundlage für die Maßgaben zur Eingabekontrolle stellt eine effektive Zugangskontrolle nach Punkt 2) dar.
 
Auftragskontrolle
Maßnahmen die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden:
Es werden nach DSGVO Art. 32 Absatz 1 Maßnahmen getroffen, die geeignet sind, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Der Auftraggeber stimmt mit dem Auftragnehmer je nach Art der zu schützenden Daten den konkreten organisatorischen Datenverarbeitungsprozess ab. Bei Bedarf wird die Betriebsführung (Operating) nach Betriebshandbuch und alle Änderungen mittels definiertem „Change“-Verfahren durchgeführt, um eine adäquate Auftragskontrolle durch den Auftraggeber sicherzustellen. Ein Change-Prozess nach ITIL stellt sicher, dass eine Freigabe durch den Kunden erfolgt und bei Bedarf ein mehrstufiger Change in Testumgebung und Produktionsumgebung durchgeführt werden kann.
Flankierend dazu werden alle mit der Betriebsführung betrauten Mitarbeiter auf das Datengeheimnis verpflichtet und in regelmäßigen Abständen Veranstaltungen und Fortbildungen zum Thema Datensicherheit durchgeführt.

Verfügbarkeitskontrolle
Maßnahmen die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
Es werden nach DSGVO Art. 32 Absatz 1 Maßnahmen getroffen, die geeignet sind, zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Um die Erfordernis der Rückspielung eines Backups im Vorfeld freizuhalten, betreibt die novaCapta ihre Rechenzentren nach Hochverfügbarkeitsstandards, d. h. das Risiko, dass Daten durch Gefährdungslagen wie Wasserschäden, Blitzschlag, Stromausfall oder dem Ausfall einer Klimaanlage beeinträchtigt werden, ist durch Maßgaben für ein sicheres Rechenzentrum mit erhöhtem Schutzbedarf nach BSI Grundschutz sehr klein gehalten.
  • Backup
    novaCapta erstellt nach Anforderung des Auftraggebers regelmäßige Backups der betreffenden Systeme im Rahmen nach definiertem Backup-Verfahren und dazugehörigem Recovery-Prozess. Backups werden nach Anforderung des Auftraggebers in unterschiedlichen Brandschutzabschnitten durchgeführt. Die Backup-Medien verbleiben je nach Anforderung des Kunden im Backup-System an diesem anderen Standort, oder nach Anforderung des Kunden auch per Lagerung als Backup-Medium in einem Safe. Die Frequenz und Aufbewahrungsdauer des Backups kann der Auftraggeber – entsprechend dessen Erfordernissen – bei Bedarf individuell vorgeben.

Trennungsgebot
Maßnahmen die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
Es werden nach DSGVO Art. 32 Absatz 1 Maßnahmen getroffen, die geeignet sind, zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
novaCapta führt eine Netzwerktrennung zur Trennung von Kundensetups, je nach Bedarf des Auftraggebers und nach Angemessenheit des angestrebten Schutzzwecks auch innerhalb von Kundensetups in verschiedenen Zonen (z. B. Produktions- und Testumgebung) durch, die ggf. durch individuelle Zugangsberechtigungen voneinander getrennt werden.


10. Betroffenenrechte
Nach den anwendbaren Gesetzen haben Sie verschiedene Rechte bezüglich ihrer personenbezogenen Daten. Möchten Sie diese Rechte geltend machen, so richten Sie Ihre Anfrage bitte per E-Mail oder per Post unter eindeutiger Identifizierung Ihrer Person an die oben genannte Adresse des Verantwortlichen.
novaCapta darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung von DEWAN FRIEDENBERGER ARCHITEKTEN berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an novaCapta wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an DEWAN FRIEDENBERGER ARCHITEKTEN weiterleiten.
Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung von DEWAN FRIEDENBERGER ARCHITEKTEN unmittelbar durch novaCapta sicherzustellen.

Nachfolgend finden Sie eine Übersicht über Ihre Rechte:

a) Recht auf Bestätigung und Auskunft
Sie haben jederzeit das Recht, von uns eine Bestätigung darüber zu erhalten, ob Sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so haben Sie das Recht, von uns eine unentgeltliche Auskunft über die zu Ihnen gespeicherten personenbezogenen Daten nebst einer Kopie dieser Daten zu erlangen.
Des Weiteren besteht ein Recht auf folgende Informationen:
1. die Verarbeitungszwecke;
2. die Kategorien personenbezogener Daten, die verarbeitet werden;
3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen
Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern
in Drittländern oder bei internationalen Organisationen;
4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden,
oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
5. das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden
personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den
Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
7. wenn die personenbezogenen Daten nicht bei Ihnen erhoben werden, alle verfügbaren
Informationen über die Herkunft der Daten;
8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für Sie. Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so haben Sie das Recht, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

b) Recht auf Berichtigung
Sie haben das Recht, von uns unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.

c) Recht auf Löschung („Recht auf Vergessenwerden“)
Sie haben das Recht, von uns zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und wir sind verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
1. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
2. Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 lit. A DSGVO oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
3. Sie legen gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gemäß Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
4. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
5. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem wir unterliegen.
6. Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben. Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
2. zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;
4. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Haben wir die personenbezogenen Daten öffentlich gemacht und sind wir gemäß Art. 17 DSGVO zu deren Löschung verpflichtet, so treffen wir unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

d) Recht auf Einschränkung der Verarbeitung
Sie haben das Recht, von uns die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
1. die Richtigkeit der personenbezogenen Daten wird von Ihnen bestritten, und zwar für eine Dauer, die es uns ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
2. die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnten und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
3. wir die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigen, Sie die Daten jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigten, oder
4. Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben, solange noch nicht feststeht, ob die berechtigten Gründe unseres Unternehmens gegenüber den Ihren überwiegen.
Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

e) Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und Sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln, sofern
1. die Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder Art.
9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b DSGVO beruht und
2. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 haben Sie das Recht, zu erwirken, dass die personenbezogenen Daten direkt von uns einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

f) Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Wir verarbeiten die personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden personenbezogene Daten von uns verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Art. 89 Abs. 1 DSGVO erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.

g) Automatisierte Entscheidungen einschließlich Profiling
Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

h) Recht auf Widerruf einer datenschutzrechtlichen Einwilligung
Sie haben das Recht, eine Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen.

i) Recht auf Beschwerde bei einer Aufsichtsbehörde
Sie haben das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten rechtswidrig ist.

j) Recht auf Unterrichtung
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.

11. SSL-Verschlüsselung
Diese Seite nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel der Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

12. Änderungen der Datenschutzhinweise
Wir behalten uns vor, die Datenschutzhinweise jederzeit ändern zu können. Das Datum der letzten Revision finden Sie am Anfang dieser Seite.